アクションのデプロイ

Tanium Interactを使用してQuestionを発行し、Questionの結果を分析して、管理アクションが必要なエンドポイントを決定すると、それらのエンドポイントへのアクションを展開できます。

対象エンドポイント数を前提にアクションの影響範囲、個々のエンドポイントへの影響、および環境への影響を完全に理解してから、アクションを展開してください。さらに、組織からアクションを実行する許可を与えられていることを確認してください。組織によっては、アクションの確認と承認のための2人目の管理者が必要になります。「Action Approvalの管理」を参照してください。

アクションの展開に必要なユーザロールのアクセス権限についてはアクション管理のアクセス権限を参照してください。

  1. 発行するアクションの数、繰り返しアクション(スケジュール済み)または非繰り返しアクション(スケジュールなし)、および同様の設定があるかどうかに基づいて、アクション展開を開始する方法を選択します。
    • 新しいアクションを発行する。一度に展開できる新しいアクションは1つだけです。Questionを発行して、 [Question Results (Questionの結果)] グリッドでアクションを必要とするエンドポイントの行を選択し[Deploy Action (アクションを展開)] をクリックして、次の手順に進みます。

      また、[Administration (運用管理)] > [Configuration (構成)] > [Client Status (クライアントのステータス)] ページから新しいアクションを展開することもできます。「Tanium Clientの登録と通信のトラブルシューティング」を参照してください。

    • 既存のアクションを発行する
      1. 発行するアクションの一覧からなる [Administration (運用管理)] > [Actions (アクション)] ページに移動します。
        • 以前に発行したスケジュール済みアクションまたはスケジュールなしアクションを発行するには、[Administration (運用管理)] > [Actions (アクション)] > [Action History (アクション履歴)] に移動します。
        • 開始日が未来に設定されているスケジュール済みアクションをただちに発行するには、[Administration (運用管理)] > [Actions (アクション)] > [Scheduled Actions (スケジュール済みアクション)] に移動します。
      2. 1つまたは複数のアクションを選択して、次のいずれかの手順を実行します。
        • 1つのアクションを再発行する場合、または開始時刻や配信期間が異なる複数のアクションを再発行する場合は、[Reissue (再発行)] をクリックして次の手順に進みます。
        • 開始日時と配信期間が同じで複数のアクションを再発行するには、[More (追加)] > [Bulk Reissue (一括再発行)] を選択し、標準時 (Local Time (現地時間) / UTC)とStart At (開始日時)Distribute Over (シフト配信)値 (表1を参照) を指定して、[Confirm (確定)] をクリックして、残りのステップをスキップします。このオプションは、1回限りの展開のみに使用します。複数の繰り返しアクションが選択された場合は、TaaSTanium Serverによって、 [Schedule Type (スケジュールタイプ)] を [One Time Deployment (1回限りの展開)] に設定されアクションのコピーが作成されます。
  2. 以下の設定を構成します。複数のアクションを発行する場合は、前へ および 次へ ウィジェットを使用して、アクションごとにページ間を移動することができます。




    [Start at (開始日時)] と [Reissue every (再発行間隔)] 値を持つアクションを保存した後、新しい値を指定しないでそれらの設定をクリアした場合、TaaSthe Tanium Serverは変更を破棄します。アクションの展開を中止するには、そのアクションを無効にするか、削除します。スケジュール済みアクションを管理するを参照してください。

     表1:アクションの設定
    設定ガイドライン
    現地時間 / UTC[Start At (開始日時)] と [End At (終了日時)] の標準時を選択します。
    • Local Time (現地時間)(デフォルト)は、Tanium Consoleへのアクセスに使用するシステムの現地時間です。
    • UTCは協定世界時です。
    名前アクションを識別する名前を指定します。スケジュール済みアクションアクション履歴、およびアクションの承認ページのアクション記録に名前が表示されます。
    説明(任意) 他のユーザがアクションの目的を理解するのに役立つ説明を入力します。
    展開パッケージドロップダウンリストからパッケージを選択するか、検索文字列を入力して名前でパッケージを検索します。

    パラメータ化パッケージを選択した場合は、パラメータを設定します。たとえば、Set Tanium Server Name Listパッケージを選択した場合は、Server Name Listと入力します。詳細は、以下を参照してください。「例:」 パラメータ化パッケージを参照してください。

    アクションを再発行または編集する場合、Deployment Package (展開パッケージ)を変更することはできません。

    読み取り専用のExpiration Period (有効期限)は、アクションの期限が切れる日時を示します。値は、次の計算結果のうちの大きい方の値です。

    有効期限は、繰り返しアクションの展開のたびに適用されますが、スケジュール設定(Reissue Every (再発行間隔)Start At (開始日時)End At (終了日時))が変更されることはありません。

    スケジュールタイプ次のオプションのいずれかを選択します。
    • 1回限りの展開: このアクションを1回だけ展開します。
    • 繰り返し展開: 指定した期間(Start At (開始日時)からEnd At (終了日時)の日時まで)にまたがって周期的にアクションが展開されるようにスケジュールします。
    再発行間隔

    この設定は、[Schedule Type (スケジュールタイプ)] をRecurring Deployment (繰り返し展開)に設定した場合にのみ表示されます。アクションが周期的に繰り返されるようにスケジュールすると、次のような場合に有用です。

    • アクションの承認が必要で、初めての展開が期限切れになる前に承認者がアクションを承認するかどうか不確かな場合。
    • 初めての展開時にオンラインではない可能性はあるが、Start At (開始日時)End At (終了日時)の間にオンラインになると予測されるエンドポイントにソフトウェアまたは設定の更新を展開する場合。
    • アクションが継続的な衛生プラクティスである場合。たとえば、Tanium Clientサービスが実行中であること、あるいはクライアント設定に特定の値があることを定期的にチェックしたい場合などです。

    数字と単位を指定します( [Minuites (分)][Hours (時間)][Days (日数)])

    [Re-issue every(再発行間隔)] 間隔はアクションの [Expiration Period (有効期限)] より大きい値である必要があります。

    Start at / End at (開始日時/終了日時) デフォルトでは、承認を必要としないアクションは、[Action Deployment (アクションの展開)] ページの下部にある [Deploy Action (アクションを展開)] がクリックされるとただちに展開されますが、[Start At (開始日時)] の日時を設定することで、デフォルトをオーバーライドすることができます。たとえば、対象エンドポイントのメンテナンス中に展開を開始したいとします。

    Action Approval (アクションの承認)が有効な場合は、次ような動作になります。

    • Start At (開始日時)が指定されなかった場合は、他のアクションの条件によってTaaSTanium Serverによるアクション展開が妨げられないかぎり、そのアクションは承認を受けた後ただちに展開されます。
    • Start At (開始日時)が指定された場合、アクションは承認を受けた後の次の開始日時に展開されます。たとえば、アクションを毎日午前1時に展開するように設定していて、午前2時に承認を受けた場合、アクションは翌日の午前1時に展開されます。

    [End At (終了日時)] 設定は、[Schedule Type (スケジュールタイプ)] を [Recurring Deployment (繰り返し展開)] に設定した場合にのみ表示されます。アクションを無期限に再展開しない場合は、この設定を使用します。たとえば、対象エンドポイントのメンテナンスが終了する前に展開を終了したいとします。

    アクションを無期限に再展開しない場合は、End At (終了日時)の日時を指定します。よくわからない場合は、無期限に実行するよりは、6か月で終了するようにスケジュールを構成する方が良いでしょう。

    Distribute over (時間分散)

    TaaSTanium Serverによって、アクションがエンドポイントにバッチ配信されます。[Distribute Over (シフト配信)] オプションは、ネットワークトラフィックやその他リソース消費の急増を防ぐために、指定した期間にまたがって展開をランダムに行います。たとえば、アクションがActive Directory (AD)にクエリするセンサーに依存する場合、時間をかけてアクションを分散しないと、ADサーバにトラフィックが殺到する可能性があります。同様に、すべてのエンドポイントがリソースを集中的に使用するプログラムを同時に実行した場合、仮想マシンファームのエンドポイントを対象とするアクションによって共有CPUや共有メモリリソースを使い切られる可能性があります。

    数字と単位を指定します( [Minuites (分)][Hours (時間)][Days (日数)])

    フィルタ条件アクションの対象にするエンドポイントを設定します。デフォルトでは、アクションは以下に一致するすべてのエンドポイントを対象にします。
    • Target Question (対象のQuestion)。当初は、[Question Results (Questionの結果)] ページで [Deploy Action (アクションを展開)] をクリックしたときに選択された行に基づいています。他の対象条件が変更されると、[Target Question (対象のQuestion)] は自動的に更新されます。
    • 定義済みの [Default - All Computers (デフォルト - すべてのコンピュータ)] アクショングループ。アクション展開を開始する前にグループメンバーシップが変更されないかぎり、管理対象のすべてのエンドポイントが対象になります。また、別の [Action Group (アクショングループ)] を選択することもできます。

    必要に応じて、以下を追加して対象を絞り込むことができます。

    • コンピュータグループ: [Add Computer Groups (コンピュータグループを追加)] をクリックして、コンピュータグループを選択し、[Save (保存)] をクリックする。このリストには、フィルタグループとして使用できるコンピュータグループのみが含まれます。
    • 手動リスト: エンドポイントのコンピュータ名またはIPアドレスのリストをコンマ区切りで入力し、[Save (保存)] をクリックします。
    • フィルタQuestion: 結果を返すエンドポイントを絞り込むQuestionを入力し、[Save (保存)] をクリックします。

    TaaSTanium Serverは、指定された条件にブールANDを適用します。繰り返しアクションの場合は、Target Question (対象のQuestion)の最新の結果と一致するエンドポイントでのみアクションが実行されます。アクション対象の絞り込み


  3. [Show preview to continue (プレビューを表示して続行)]をクリックして、影響を受けるエンドポイントを確認し、[Deploy Action (アクションをデプロイ)]をクリックします。
  4. 影響を受けるエンドポイントの予測数が設定されているしきい値(デフォルトは100)を超える場合は、その予測数を入力して、[Confirm (確定)] をクリックします。TaaSTanium Serverは、この確定手順を適用することで、アクションがネットワークに与える影響を把握できるようにします。
  5. Tanium ConsoleでユーザにEstimated clients affected (影響クライアントの予測数)の入力を求めるかどうかを制御するしきい値を変更するには、[Administration (運用管理)] > [Configuration (構成)] > [Platform Settings (プラットフォーム設定)] に移動して、prompt_estimate_threshold設定を編集します。この値を0に変更すると、影響を受けるエンドポイント数に関係なくアクションが展開されるたびに、Tanium Consoleからはユーザにプロンプトが表示されます。
  6. [Action Status (アクションステータス)] ページで予測結果を確定します。Start At (開始日時)値が省略された場合は、展開がただちに開始され、ページが自動的に開きます。これ以外の場合は、展開が開始されるのを待って、[Administration (運用管理)] > [Actions (アクション)] > [Action History (アクション履歴)] に移動し、グリッドでアクションを選択して、[Show Status (ステータスの表示)] をクリックします。詳細は、「アクションのステータスを表示する」を参照してください。

    Action Appropvalが有効な場合、アクションは承認を受けるまで保留状態のままになります。

  1. Questionを発行します。
  2. [Question Results (Questionの結果)]グリッドで、アクションを必要とするエンドポイントの行を選択して[Deploy Action (アクションをデプロイ)]をクリックします。

    Interactでは[Deploy Action (アクションをデプロイ)]ページを表示します。

  3. [Deployment Package (デプロイパッケージ)]検索ボックスのインクリメンタル検索機能を使用してパッケージを選択します。

    あるいは、[Browse Packages (パッケージ参照)]をクリックしてパッケージの説明をレビューしてパッケージを選択することもできます。

  4. [Action Details (アクションの詳細)]セクションを完了します。
    設定ガイドライン
    名前アクションを識別する名前を指定します。指定した名前は、予定済みアクション、アクション履歴、およびアクションの承認ページのアクション履歴に表示されます。
    説明(任意)説明があると、他のユーザがアクションの目的を理解するのに役立ちます。
    タグ(任意)コントロールを使用して名前/値ペアのタグを追加します。

    これらのタグは、アクションを実行するエンドポイントではなくアクションそのものに適用され、[Action Summary (アクションサマリ)] ページの [Action Details (アクションの詳細)] ページに表示されます。エンドポイントにタグを割り当てるには、Custom Tagging - Add TagsまたはCustom Tagging - Add Tags (Non-Windows)パッケージを展開する必要があります。


  5. [Schedule Deployment (デプロイのスケジュール)] セクションを完成します。

    [Start at (開始日時)] と [Reissue every (再発行間隔)] 値を持つアクションを保存した後、新しい値を指定しないでそれらの設定を選択解除した場合、変更は破棄されます。アクションの展開を中止するには、そのアクションを無効にするか、削除します。スケジュール済みアクションを管理するを参照してください。



    設定ガイドライン
    Start at / End at (開始時刻/終了時刻)

    メンテナンス中に対象クライアントにアクションを展開することが重要である場合は、必要に応じて開始日時を指定します。TaaSのシステムクロックの時刻は、Tanium Clientのホストシステムではなく、Tanium Serverのホストシステムの協定世界時(UTC)を意味します。たとえば、アクションを午前1時に展開するよう指定した場合、そのアクションは、TaaSTanium Serverのシステムクロックの時刻が午前1時のときに展開されます。次の動作に注意してください:

    • 開始時刻を指定しないと、アクションをデプロイするワークフローが完了し次第、アクションが発行されます。
    • 開始日時を指定せず、Action Approvalを有効にした場合、アクションは承認の受けた後ただちに展開されます(他のアクション条件によってTaaSTanium Serverがアクションを展開するのを妨げられない場合)。
    • 開始時刻を指定し、アクションの承認が有効な場合、アクションは承認後の次の開始時刻に発行されます。たとえば、アクションを毎日午前1時にデプロイするように設定し、午前2時に承認された場合は、翌日の午前1時にデプロイされます。

    スケジュール済みアクションに再発行間隔を設定した場合は、無期限に再発行する種類のアクションでないかぎり終了日時を指定してください。よくわからない場合は、無期限に実行するよりは、6か月で終了するようにスケジュールを構成する方が良いでしょう。

    Distribute over (時間分散)

    TaaSTanium Serverは、Tanium Clientにパッケージをバッチ分散します。このオプションは、ネットワークまたはその他のリソース使用率の急増を避けるために、指定した時間にわたって配信をランダムに行います。 たとえば、アクションがActive Directory (AD)にクエリを発行するセンサーに依存する場合、時間を分けて配信しないアクションによって、ADサーバへのトラフィックが急増する可能性があります。同様に、すべてのクライアントがリソースを集中使用するプログラムを同時に実行するようになっている場合、仮想マシンファームのクライアントを対象とするアクションによって共有CPUや共有メモリリソースを使い切られる可能性があります。シフト配信は、大規模な調整によってネットワーク環境または仮想環境が受ける影響を軽減します。

    数字と単位を指定します( [Minuites (分)][Hours (時間)][Days (日数)])

    Reissue every (再発行頻度)

    アクションを一定間隔で繰り返すようにスケジュールすることができ、これは以下の場合に適切です:

    • アクションの承認が有効で、アクションが期限切れになる前に承認されるかわからない場合。
    • ソフトウェアまたは構成の更新が、現在オンラインのクライアントばかりでなく、指定した再発行間隔で定義した時間内に予想通りにオンラインになる現在オフラインのクライアントにも適用されたことを確認したい場合。
    • アクションが継続的な衛生プラクティスである場合。たとえば、クライアントサービスが実行中であること、あるいはクライアント構成が特定の値であることを定期的にチェックしたい場合などです。

    数字と単位を指定します( [Minuites (分)][Hours (時間)][Days (日数)])

    [Reissue every (再発行の頻度)]の間隔は、アクションの有効期限を越える値である必要があります。これは、以下の計算結果の大きい方です:

    • パッケージの[Command Timeout (コマンドタイムアウト)] + [Download Timeout (ダウンロードタイムアウト)]
    • パッケージの[Command Timeout (コマンドタイムアウト)] + 予定済みアクションの[Distribute Over (シフト配信)]

  6. [Targeting Criteria (対象基準)] セクションで、アクションを実行する必要のあるエンドポイントを指定します。

    保存済みQuestionに基づく繰り返しアクションでは、[Starting Question (開始Question)] の最新結果に一致するエンドポイントでのみアクションが発行されます。

    [Reissue every interval (再発行間隔)] を選択するか、アクションの承認が有効になっている場合は、アクショングループを指定する必要があります。アクショングループを指定しないと、[Question Results (Questionの結果)] グリッドで選択したエンドポイントのみを対象にしても、アクショングループはAll Computersコンピュータグループに設定され、変更できなくなります([Action Group (アクショングループ)]ドロップダウンが表示されない)。

  7. [Show preview to continue (プレビューを表示して続行)]をクリックして、影響を受けるエンドポイントを確認し、[Deploy Action (アクションをデプロイ)]をクリックします。
  8. 影響を受けるエンドポイントの推定番号が構成済みのしきい値(デフォルトは100)を超えている場合は、その番号を入力します。TaaSTanium Serverは、この確定手順を適用することで、アクションがネットワークに与える影響を把握できるようにします。
  9. Tanium ConsoleでユーザにEstimated Number (予測数)の入力を求めるかどうかを制御するしきい値を変更するには、prompt_estimate_threshold設定([Administration (管理)] > [Management (管理)] > [Global Settings (グローバル設定)])を編集します。この値を0に変更すると、影響を受けるエンドポイント数に関係なくアクションが展開されるたびに、Tanium Consoleからはユーザにプロンプトが表示されます。

  10. ステータスで予想通りの結果であることを確認します。詳細については、アクションサマリとステータスの表示を参照してください。

繰り返しアクションか、 [Start At (開始日時)] の日付が未来のアクション、または承認が必要なアクションでは、展開ワークフローによってスケジュール済みアクション設定オブジェクトが作成され、アクションは [Scheduled Actions (スケジュール済みアクション)] と [Action History (アクション履歴)] ページ、[Action Approval] ページ(該当する場合)に表示されます。ただちに展開された非繰り返しアクションは、[Action History (アクション履歴)] ページにのみ表示されます。詳細は、「スケジュール済みアクションと履歴の管理」および「アクション承認の管理」を参照してください。